Kunnon kotiverkon rakentaminen
10.8.2007 09:32Otin projektikseni rakentaa Oikean verkon kotiin. Ideanani oli parantaa niin tietoturvaa kuin verkonrakentamistaitojakin.
Ostin:
- Mini-ITX-emolevyn, jossa on kaksi verkkokorttia palomuuriksi/bridgeksi/reitittimeksi
- Kaksi hallittavaa 8-porttista VLANeja tukevaa kytkintä
Linux vaatii kerneliin / softaa:
- Bridge-tuen
- VLAN-tuen
Itselläni oli käytössä 2.6.18 kerneli ja distrona toimi Debian GNU/Linux.
Ensimmäinen vaihe: Bridgen rakentaminen. Linux laitetaan siis toimimaan eräänlaisena putkena, joka ei näy verkkoon mitenkään. Eli siis toisesta verkkokortista ADSL:stä tuleva eetteripiuha kiinni Linuxiin ja toinen verkkokortti kiinni kytkimeen (et tarvitse vielä VLAN-kytkintä). Perinteiseen NAT:iin verrattuna ISP:n DHCP:t yms toimivat samalla tavalla kuin ennenkin. Koneeseen ei tarvitse laittaa yhtään IP-osoitetta. Tosin itse laitoin konfiguroinnin helpottamiseksi, kun en jaksanut ravata pitkin kämppää. Bridge soveltuu myös hyvin verkkoliikenteen seurantaan.
Asenna brctl:
aptitude install bridge-utils
Seuraavaksi tehdään bridge:
ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
brctl stp br0 on
# ei pakolliset:
ifconfig br0 <julkinen IP> netmask <netmaskisi>
route add default gw <Gatewaysi>
Bridge toimii silloin oikein kun siitä menee liikenne läpi. STP ei ole pakollinen, mutta estää mahdollisien verkon looppien syntymisen.
Toinen vaihe: VLAN-verkon rakentaminen. VLAN:illa voi siis jakaa fyysisiä verkkoja useampaan verkkoon, joihin eri VLAN:iin kuuluvat eivät pääse käsiksi. Yrityksissä esim. markkinointi ei pääse kirjanpidon verkkoon käsiksi, vaikka molemmat ovat kiinni samassa fyysisessä kytkimessä. VLAN tarvitsee toimiakseen hallittavan kytkimen ja eri VLAN-ID:n omaavat verkot eivät voi jutella keskenään ilman reititintä (Tässä tapauksessa reitittimenä toimii Linux). Hinnat ovat tulleet sen verran alas, että kuluttajatkin pääsevät jo hallittaviin VLAN-kytkimiin käsiksi.
Ennen aloittamista konfiguroi verkkosi siihen kuntoon, että saman VLAN-ID:n omaavat verkkolaitteet juttelevat keskenään ilman reitittimen apua. Muista myös ohjata VLAN-ID:t valmiiksi porttiin, johon on kytketty tämä reitittävä Linux-kone.
Oman verkon kuvaus:
- Linux-palomuuri (kone, jolle asetukset on annettu)
- Windows-työasema, jossa kaksi verkkokorttia
- XBOX
- Linux-serveri
- NAS
- ADSL-reititin
- VLAN-kytkin x 2
- WLAN-reititin
Omassa tapauksessani halusin konfiguroida verkon niin, että yksi verkkokortti Windows-työasemasta + XBOX + Linux-serveri + NAS ovat kaikki samassa VLAN:issa (111). Windows-työaseman toinen verkkokortti on taasen ilman koko VLAN:ia (vakio 1). WLANilla on myös täysin oma VLAN (222) tietoturvariskin vuoksi. Halusin myös, että VLAN 111 on NAT:attu, jotta verkkolaitteet pääsevät päivittymään tarvittaessa (NTP jne).
Kytkimien asetukset:
PROCURVE1:
| Portti | VLAN 1 | VLAN 111 | VLAN 222 | PVID | Info |
| 1 | - | x | - | 111 | NAS |
| 2 | - | x | - | 111 | NAS |
| 3 | - | x | - | 111 | Ei käytössä / LAN |
| 4 | x | - | - | 1 | Ei käytössä / Internet |
| 5 | x | - | - | 1 | Ei käytössä / Internet |
| 6 | x | - | - | 1 | Ei käytössä / Internet |
| 7 | x | x | x | 1 | Linux-palomuuri/reititin/bridge |
| 8 | x | x | x | 1 | PROCURVE 2:seen |
PROCURVE2:
| Portti | VLAN 1 | VLAN 111 | VLAN 222 | PVID | Info |
| 1 | x | x | x | 1 | PROCURVE1:seen |
| 2 | - | - | x | 222 | WLAN-reitittimeen |
| 3 | x | - | - | 1 | Windows-työaseman verkkokortti #1 (Internet) |
| 4 | x | - | - | 1 | Ei käytössä / Internet |
| 5 | x | - | - | 1 | Ei käytössä / Internet |
| 6 | - | x | - | 111 | Ei käytössä / LAN |
| 7 | - | x | - | 111 | Tulostin |
| 8 | - | x | - | 111 | Windows-työaseman verkkokortti #2 (LAN) |
Asenna VLAN-tuki:
aptitude install vlan
Konfiguroi VLAN-Bridge-NAT:
echo 1 > /proc/sys/net/ipv4/ip_forward
vconfig add br0 111
ifconfig br0.111 192.168.0.1 netmask 255.255.0.0
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
Testaus:
ping -I br0.111 ping.funet.fi
Nyt siis laittamalla tuttuun tapaan tämän VLAN:in sisällä olevan verkkolaitteen gatewayksi 192.168.0.1, pääsee se nettiinkin tarvittaessa.
TODO:
WLANin VLAN:in päivittelen myöhemmin tähän artikkeliin.
Linkkejä
- LinuxNet: Bridge
- Wikipedia: VLAN, Bridge, Bridging, IEEE 802.1D, IEEE 802.1Q, STP
- ebtables
5 kommenttia »
Tämän artikkelin kommentit RSS-virtana. Paluuviiteosoite
Kommentoi
Aiheet:
Arkisto:
- Toukokuu 2008 (3)
- Huhtikuu 2008 (2)
- Maaliskuu 2008 (5)
- Helmikuu 2008 (2)
- Tammikuu 2008 (4)
- Joulukuu 2007 (8)
- Marraskuu 2007 (6)
- Lokakuu 2007 (9)
- Syyskuu 2007 (11)
- Elokuu 2007 (14)
- Heinäkuu 2007 (13)
- Kesäkuu 2007 (12)
- Toukokuu 2007 (25)
- Huhtikuu 2007 (28)
Toiminnot:
Muita blogeja:
Muista:
Moottorina: WordPress | Hostaus: TVP Networks Oy
Mielenkiintoinen artikkeli. Itse olen ajatellut jotain samansuuntaista rakentaa. Voisitko kertoa ostamasi emon ja kytkimien merkit ja mallinumerot?
Floodi — 10.8.2007 #
Emolevy: VIA EPIA-EK8000EG. Kytkimet: HP Procurve 1800-8G.
Pekka Järvinen — 10.8.2007 #
(Kommentti ei tullut näkyviin, koitan uusiksi.)
Hyvää tekstiä. Seuraa kommentteja ja kysymyksiä, kun olen itsekin viime aikoina pohtinut verkon rakentamista.
Kuva, vaikka vain ASCII-taideversio, verkosta olisi havainnollistanut vähän paremmin. Ymmärsinkö oikein:
“Seinä” -> ADSL-reititin -> Linux-palomuuri joka toimii myös siltana -> VLAN-kytkin, jossa kiinni myös XBOX, Linux-serveri, NAS, Windows-työasema, ja toinen VLAN-kytkin, jossa taas on kiinni vain WLAN-reititin.
Mihin toista kytkintä oikein tarvitaan, loppuivatko portit vain kesken? Kyllähän yhdelläkin kytkimellä pitäisi käsittääkseni saada vaikka kuinka monta VLANia aikaiseksi.
Onko jotain erityistä syytä, miksi Windowsin toinen verkkokortti on VLAN:n ulkopuolella? Onko sekin kuitenkin kiinni samassa kytkimessä, vai suoraan ADSL- tai WLAN-reitittimessä?
Onko sillalla jotain merkittävää etua perinteiseen NAT:n verrattuna? Laitoit kuitenkin VLAN 111:n NAT:n, joten ilmeisesti ero on lähinnä se, että WLAN-koneet saavat omat ulkoiset IP-osoitteet, vai?
Olin itse ajatellut lyödä WLAN-kortin tai -reitittimen suoraan kiinni *nix-palomuuriin, jolloin sama palomuuri valvoo niin eetteripiuhan kuin WLAN:n läpi menevää liikennettä, ja hoitaisi samalla myös NAT:n. Näin ollen en näe itselläni tarvetta VLAN:lle. Oliko sinulla muita syitä kuin WLAN:n turvaaminen?
Matti — 12.8.2007 #
Wireles Local Area Network, tuplaveellä siis..
Joojoo — 12.8.2007 #
Muuten viitsisitkö pistää, juttua kuinka luot VLANit kytkimiisi.
Eli mitä pitää ottaa huomioon ja miten trunkit ja VLANien nimeämiset ja ip-osoitteet.
Eli VLAN for dummies.
Hemppa — 14.8.2007 #